FAQ
Co to jest RODO?
RODO to skrót od: Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz do uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
RODO stanowi główny element europejskiej reformy ochrony danych osobowych. RODO powstało w związku z koniecznością ujednolicenia przepisów regulujących ochronę danych osobowych w państwach UE. Na pakiet reformujący ochronę danych osobowych w Unii Europejskiej składa się także Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW – tzw. dyrektywa policyjna. Do aktów prawnych kompleksowo regulujących ochronę danych osobowych można także zaliczyć będącą jeszcze w fazie prac legislacyjnych dyrektywę o e-prywatności.
Co to są dane osobowe?
Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.Dane osobowe to wszystkie dane, które dotyczą konkretnej osoby fizycznej – od imienia i nazwiska, nr PESEL umieszczonego w dokumencie tożsamości, przez adres e-mail do danych umieszczonych na wizytówce. Danymi osobowymi może być także odcisk palca, adres IP, login do portalu internetowego czy numer telefonu.
Co to są szczególnie kategorie danych osobowych?
Szczególne kategorie danych osobowych to grupa danych sensytywnych (wrażliwych), które podlegają szczególnym zasadom przetwarzania i ochrony. Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane: genetyczne, biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Przetwarzanie szczególnych kategorii danych osobowych jest zabronione, chyba, że m.in.:
- osoba, której dane dotyczą wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych,
- przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw administratora danych osobowych wynikających z przepisów prawa pracy, zabezpieczenia społecznego i ochrony socjalnej,
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości,
- przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
Co to jest przetwarzanie danych osobowych?
Przetwarzanie danych osobowych to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Katalog czynności, które mogą składać się na przetwarzanie danych osobowych, ma charakter przykładowy – należy przyjąć, iż przetwarzanie danych osobowych to każda czynność, którą wykonujemy z wykorzystaniem danych osobowych.
Kto to jest Administrator Danych?
Administrator Danych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Administratorem Danych przetwarzanych na UW, jest Uniwersytet Warszawski z siedzibą przy ul. Krakowskie Przedmieście 26/28, 00-927 Warszawa, reprezentowany przez JM Rektora. Uniwersytet Warszawski, jest Administratorem Danych m.in.: studentów, doktorantów, pracowników, które wykorzystuje w celach określonych przepisami prawa.
Kto to jest Inspektor Ochrony Danych (IOD)?
Inspektor Ochrony Danych to wyznaczona przez Rektora Uniwersytetu Warszawskiego osoba, która została wpisana do prowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych rejestru inspektorów ochrony danych osobowych, odpowiedzialna za nadzór i bezpieczeństwo danych osobowych przetwarzanych na Uniwersytecie Warszawskim.
Inspektor Ochrony Danych odpowiada za nadzór nad funkcjonowaniem i efektywnością procesów prawidłowego przetwarzania danych osobowych.
Kto to jest Administrator Systemu Informatycznego (ASI)?
Administrator Systemu Informatycznego to osoba odpowiedzialna za funkcjonowanie systemu informatycznego oraz wykonująca w nim czynności wymagające specjalnych uprawnień. Administrator Systemu Informatycznego jest odpowiedzialny za przestrzeganie zasad i wymagań bezpieczeństwa danych w systemie informatycznym.
Co to jest zarządzenie w sprawie ochrony danych osobowych?
Zarządzenie w sprawie ochrony danych osobowych na Uniwersytecie Warszawskim to dokument, który kompleksowo reguluje ochronę danych osobowych na Uniwersytecie Warszawskim. Do zarządzenia załączono szereg załączników, które zawierają m.in.: instrukcje, procedury i wytyczne prawidłowego przetwarzania danych osobowych.
Jakie są podstawowe zasady przetwarzania danych osobowych?
zasada integralności i poufności
dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych
zasada legalności, rzetelności i przejrzystości
dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą
zasada minimalizacji danych
dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane
zasada ograniczenia celu
dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami
zasada ograniczenia przechowywania
dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą
zasada prawidłowości
dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane
zasada rozliczalności
administrator jest odpowiedzialny za przestrzeganie zasad dotyczących przetwarzania danych osobowych i musi być w stanie wykazać ich przestrzeganie
Jakie są zasady bezpieczeństwa wynikające z polityki ochrony danych?
zasada odpowiedzialności za zasoby
każdy pracownik Biura jest osobiście odpowiedzialny za przetwarzane dane osobiste i przestrzeganie procedur bezpieczeństwa w celu zapewnienia dostępności, poufności oraz integralności powierzonych danych
zasada ochrony informacji służbowej/służbowych dokumentów bezwzględnie zabronione jest kopiowanie i wynoszenie dokumentów służbowych (oryginałów, kopii, wersji elektronicznych) oraz ich przesyłanie drogą elektroniczną w innym celu niż służbowy, np. wyjście do sądu lub urzędu. W przypadku pracy zdalnej pracownik zobowiązany jest do zachowania szczególnej ostrożności wobec służbowych dokumentów i nośników danych
zasada wiedzy koniecznej
pracownicy powinni mieć dostęp jedynie do tych informacji, które są niezbędne do wykonywania powierzonych im obowiązków lub zadań. Jeżeli nie jest to niezbędne do wykonywania obowiązków służbowych pracownicy nie powinni uzyskiwać wglądu w akta spraw prowadzonych przez innych pracowników
zasada zamkniętego pomieszczenia
pod nieobecność pracowników drzwi do pomieszczeń każdorazowo zamykane są na klucz, który pozostaje pod nadzorem pracownika lub jest zwracany do portierni. Niedopuszczalne jest pozostawianie pomieszczeń bez nadzoru lub użyczanie kluczy do pomieszczeń osobom nieuprawnionym.
zasada czystego biurka
opuszczając stanowisko pracy na koniec dnia lub podczas wyjść w ciągu dnia należy uprzątnąć biurko z dokumentów papierowych oraz nośników danych, które mogą zawierać dane osobowe. Po zakończonej pracy lub na czas dłuższej nieobecności przy stanowisku pracy dokumenty należy umieścić w szufladzie lub szafie zamykanej na klucz
zasada prywatności kont w systemach
praca w systemach informatycznych odbywa się wyłącznie na kontach przypisanych danemu pracownikowi. Bezwzględnie zabronione jest udostępnianie kont innym osobom, jak również korzystanie przez te osoby z udostępnionego konta innego pracownika
zasada poufności haseł i kodów dostępu
pracownicy zachowują w poufności i nie przekazują osobom nieuprawnionym haseł i kodów dostępu, w tym pracownikom IT czy przełożonym. W szczególnych okolicznościach hasła mogą być zapisywane w sposób uniemożliwiający dostęp do nich innym osobom np. z wykorzystaniem szyfrowanych i zabezpieczonych bezpiecznym hasłem managerów haseł jak np. KeePass
zasada czystej tablicy
po zakończonym spotkaniu w pomieszczeniach ogólnodostępnych, należy uprzątnąć wszystkie materiały oraz wyczyścić tablice. Należy pamiętać również o zabraniu wszystkich przyniesionych na spotkanie dokumentów oraz nośników danych, jak np. pendrive z prezentacją
zasada czystego ekranu
pracownicy są zobowiązani do blokowania komputera przed każdym opuszczeniem pomieszczenia. Monitor powinien być ustawiony w sposób uniemożliwiający wgląd w wyświetlane treści osobom trzecim. W przypadku dłuższej nieobecności w pomieszczeniu należy wylogować się z systemu operacyjnego
zasada czystego pulpitu
na pulpicie komputera mogą znajdować się jedynie ikony standardowego oprogramowania, aplikacji służbowych oraz pliki i skróty do folderów pod warunkiem, że w nazwie nie zawierają informacji, które mogą zostać w sposób niekontrolowany ujawnione
zasada czystych drukarek
dokumenty należy odbierać z drukarek niezwłocznie po ich wydrukowaniu. W szczególności zasada ta dotyczy dokumentów drukowanych na drukarkach znajdujących się w innym pomieszczeniu. W przypadku drukarek znajdujących się w innym pomieszczeniu należy zawsze stosować opcję drukowania prywatnego z zabezpieczeniem pracy hasłem, jeżeli opcja taka jest możliwa na danym urządzeniu
zasada czystego kosza
do kosza należy wyrzucać tylko dokumenty papierowe i inne nośniki danych, z których uprzednio trwale usunięto dane osobowe lub zostały one w całości zniszczone w sposób uniemożliwiający odzyskanie danych
zasada niszczarki
dokumenty papierowe oraz płyty CD/DVD zawierające dane osobowe należy niszczyć wyłącznie za pomocą służbowej niszczarki dokumentów. Szczególną uwagę należy zwracać na koperty, teczki, koszulki plastikowe oraz podobne akcesoria biurowe, na których mogą znajdować się dane osobowe (np. odciśnięty napis, naklejki adresowe, itp)
zasada legalności oprogramowania
zabronione jest samodzielne instalowanie oprogramowania i przechowywanie na komputerze treści naruszających prawa autorskie oraz innych nielegalnych treści. Wszelkie wątpliwości i problemy związane z aktualizacjami i instalowaniem oprogramowania powinny być niezwłocznie zgłaszane do Pionu IT.
Co to jest legalne przetwarzanie danych osobowych?
Legalne przetwarzanie danych osobowych oznacza, przetwarzanie danych osobowych w zgodności z przepisami prawa.
Aby przetwarzanie danych osobowych odbywało się w zgodzie z prawem powinna zostać spełniona jedna z poniższych przesłanek:
osoba, której dane dotyczą wyraziła zgodę na przetwarzanie jej danych osobowych,
przetwarzanie jest niezbędne do wykonania umowy lub czynności przed jej zawarciem,
przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej.
Co to jest obowiązek informacyjny?
Obowiązek informacyjny to obowiązek Administratora Danych do poinformowania osoby, której dane dotyczą o:
- danych identyfikujących Administratora Danych,
- danych kontaktowych Inspektora Ochrony Danych,
- przysługujących jej prawach,
- celu przetwarzania danych osobowych,
- okresie przechowywania danych osobowych,
- podstawie przetwarzania danych osobowych,
- możliwości złożenia skargi do organu nadzorczego (Prezes Urzędu Ochrony Danych Osobowych),
Obowiązek informacyjny ma na celu uświadomić osobę, której dane dotyczą, o tym w jaki sposób będą przetwarzane dane osobowe jej dotyczące. Obowiązek ten jest realizowany najczęściej w postaci klauzul informacyjnych.
Jakie prawa posiada osoba, której dane dotyczą?
Osoba, której dane dotyczą posiada prawo do:
- żądania od Administratora Danych dostępu do swoich danych,
- sprostowania swoich danych osobowych,
- usunięcia lub ograniczenia przetwarzania danych osobowych,
- wniesienia sprzeciwu wobec przetwarzania,
- przenoszenia danych,
- wyrażenia/odwołania zgody na przetwarzanie danych osobowych,
- nie podlegania decyzji, która opiera się na wyłącznie zautomatyzowanym przetwarzaniu, w tym profilowaniu.
Co to jest zgoda na przetwarzanie danych osobowych?
Zgoda na przetwarzanie danych osobowych to jedna z przesłanek legalności przetwarzania danych osobowych, rozumiana jako okazanie woli przez osobę, której dane dotyczą, którego treścią jest przyzwolenie na przetwarzanie danych osobowych. Zgoda na przetwarzanie danych osobowych musi być: dobrowolna, konkretna, świadoma i jednoznaczna.
Zgoda na przetwarzanie danych osobowych może przyjąć formę oświadczenia woli, wyrażonego w formie pisemnej lub elektronicznej np. klauzula zgody dołączona do kwestionariusza osobowego w formie papierowej lub umieszczenie klauzuli zgody w formularzu elektronicznym przy zastosowaniu checkboxa.
Zgoda na przetwarzanie danych osobowych musi być wyrażona na jasno określony cel np. zgoda na przetwarzanie danych osobowych w procesie rekrutacji do pracy czy udziału w konkursie, konferencji itp.
Co to jest upoważnienie do przetwarzania danych osobowych?
Upoważnienie do przetwarzania danych osobowych to wydawany przez kierownika jednostki organizacyjnej dokument, który uprawnia pracownika lub osobę mającą zostać dopuszczoną do przetwarzania danych osobowych, poświadczający, że do przetwarzania danych dopuszczone są tylko osoby, które zostały do tego celu uprawnione i zaznajomione z przepisami regulującymi ochronę danych osobowych.
Upoważnienie do przetwarzania danych osobowych służy realizacji obowiązku rozliczalności wynikającego z RODO, tzn. Uniwersytet Warszawski musi wykazać, iż do przetwarzania danych osobowych zostały dopuszczone tylko osoby uprawnione. Upoważnienie jest także dokumentem, który ogranicza dostęp do zasobów danych przez osoby nieuprawnione.
Co to jest rejestr czynności przetwarzania?
Rejestr czynności przetwarzania to dokument, który pokazuje w jakich procesach Administrator Danych przetwarza dane osobowe.
Rejestr uwzględnienia m.in. cel przetwarzania danych, podstawy przetwarzania danych, kategorię oraz zakres przetwarzanych danych oraz w jaki sposób dane są zabezpieczone.
Rejestr czynności przetwarzania może być prowadzony w wersji papierowej lub elektronicznej.
Należy zauważyć, iż pojęcie czynności przetwarzania danych osobowych nie zostało precyzyjnie opisane w RODO, co może powodować trudności w zidentyfikowaniu czynności przetwarzania danych osobowych. Czynność przetwarzania można określić przez kategorie podmiotów danych lub celów przetwarzania.
Przykładowe czynności przetwarzania danych:
- rekrutacja: na studia/do pracy,
- obsługa zatrudnienia pracowników,
- zgłaszanie pracowników do opieki medycznej,
- prowadzenie księgowości,
- ewidencja gości hotelowych,
- prowadzenie rejestru pełnomocnictw.
Co to jest ocena skutków dla ochrony danych osobowych?
Ocena skutków dla ochrony danych osobowych to proces, który ma opisać przetwarzanie danych osobowych, ocenić niezbędność i proporcjonalność przetwarzania danych oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych.
Ocena skutków dla ochrony danych osobowych pozwala na podjęcie właściwych środków technicznych i organizacyjnych mających służyć zabezpieczeniu danych osobowych, a także wskazuje jakie czynności należy podjąć by zminimalizować ryzyko przetwarzania danych osobowych.
Co to jest powierzenie przetwarzania danych osobowych?
Powierzenie przetwarzania danych osobowych to przetwarzanie określonego zakresu danych osobowych w imieniu Administratora Danych Osobowych (np. Uniwersytetu Warszawskiego). Powierzenie przetwarzania danych osobowych odbywa się na podstawie umowy powierzenia przetwarzania danych osobowych lub innego instrumentu prawnego, który wiąże Administratora Danych i podmiot, który przetwarza dane w imieniu Administratora.
Powierzenie przetwarzania danych osobowych powinno regulować m.in.:
- cel i charakter powierzenia,
- przedmiot powierzenia – rodzaj danych, kategorię osób, których dane dotyczą,
- czas trwania powierzenia,
- obowiązki i prawa administratora,
- podpowierzenie przetwarzania,
- zobligowanie osób upoważnionych do zachowania tajemnicy,
- stosowanie odpowiednich zabezpieczeń,
- pomoc w realizacji praw osób, których dane dotyczą,
- usunięcie lub zwrot danych po ustaniu powierzenia,
- udzielenie pomocy administratora w wypełnianiu obowiązków względem organu nadzorczego,
- zgoda na przeprowadzenie kontroli przetwarzania danych osobowych przez administratora.
Powierzenie przetwarzania danych osobowych to przekazanie danych osobowych innemu podmiotowi np. ubezpieczycielowi lub hostingodawcy w celu przechowywania danych na serwerze, czy w sytuacji wymagającej serwisowania systemów IT w których przetwarzane są dane osobowe.
Co to są techniczne i organizacyjne środki ochrony danych osobowych?
Techniczne i organizacyjne środki ochrony danych osobowych to środki, które należy zastosować by zapewnić bezpieczeństwo danych osobowych adekwatne do ryzyka przetwarzania danych osobowych.
Środki organizacyjne to np. wdrożenie polityk ochrony danych osobowych, wyznaczenie Inspektora Ochrony Danych, szkolenia z ochrony danych osobowych dla pracowników, wydawanie upoważnień do przetwarzania danych osobowych.
Środki techniczne to np. stosowanie oprogramowania antywirusowego na stacjach roboczych, zapewnienie dostępu do systemu przy użyciu loginu i hasła, stosowanie firewalla czy UPS, odnotowywanie informacji o czynnościach użytkownika wykonanych w systemie informatycznym.
W ramach środków technicznych i organizacyjnych można także wyróżnić środki ochrony fizycznej takie jak np.: drzwi i szafy zamykane na klucz, rolety antywłamaniowe, kraty w oknach, sejfy i kasy pancerne, ochrona czy system alarmowy.
Czym są: zasada minimalizacji i adekwatności przetwarzania danych osobowych?
Zgodnie z zasadą minimalizacji danych, dane osobowe powinny być stosowne oraz ograniczone do tego co niezbędne do celów, w których są przetwarzane. Należy przetwarzać tylko takie dane osobowe, bez których nie da się osiągnąć zamierzonego celu przetwarzania.
Zasada adekwatności oznacza, iż administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych. Relewantność (adekwatność) danych powinna być oceniania najpóźniej w momencie ich zbierania. Przyjmuje się, że np. pozyskanie dwóch form kontaktu (nr telefonu i adres e-mail) od osoby, której dane dotyczą jest nadmiarowe i stanowi naruszenie.
Co to jest privacy by design i privacy by default?
Uwzględnianie ochrony danych w fazie projektowania (privacy by design) to działanie, którego celem jest włączenie ochrony prywatności już na etapie zidentyfikowania czynności przetwarzania. To podejście, które mówi, iż ochrona danych powinna być wbudowana w każdy nowy projekt, przy zastosowaniu odpowiednich środków technicznych i organizacyjnych.
Domyślna ochrona danych (privacy by default) to uwzględnienie jak najdalej posuniętych zabezpieczeń prywatności w ustawieniach początkowych każdego systemu informatycznego. Domyślnie, czyli bez konieczności jakiejkolwiek aktywności osób, której dane dotyczą. Domyślnie powinny być przetwarzane w systemie tylko te dane, które są niezbędne do osiągnięcia celu dla którego zostały zebrane.
Co to jest naruszenie ochrony danych osobowych?
Naruszenie ochrony danych osobowych to pojedyncze zdarzenie lub seria zdarzeń, związanych z bezpieczeństwem danych, które zagrażają ich poufności, dostępności lub integralności. Nie tylko ujawnienie danych osobowych jest incydentem, może być to także modyfikacja danych osobowych oraz brak dostępności danych osobowych. Dodać trzeba, że incydent dotyczy nie tylko danych osobowych, ale szeroko rozumianych zasobów systemu informatycznego, takich jak: osoby, usługi, oprogramowanie, dane, sprzęt i inne elementy mające wpływ na bezpieczeństwo przetwarzanych danych.
Naruszeniem ochrony danych osobowych jest np. ujawnienie danych osobie nieuprawnionej, publikowanie na stronach internetowych bez podstawy prawnej informacji zawierających dane osobowe takie jak: imię i nazwisko, numer PESEL, nr indeksu, nr telefonu czy ocena z egzaminu. Naruszeniem ochrony danym może być także: wysyłanie pocztą elektroniczną adresów innych adresatów, wrzucenie dokumentów do kosza zamiast do niszczarki, niewystarczające zabezpieczenie danych na stacjach roboczych – brak: haseł dostępu, ochrony antywirusowej itp.
Udostępnianie danych o absolwentach na wniosek osoby trzeciej?
Zgodnie z przepisami prawa oraz Polityką Ochrony Danych Osobowych na UW, udostępnienie danych osobowych o absolwencie na wniosek strony trzeciej, nie posiadającej wyraźnej podstawy prawnej, może być zrealizowane na podstawie zgody wyrażonej przez osobę, której dane dotyczą.
Zgodę na udostępnienie bądź zweryfikowanie danych osobowych, osoba, której dane dotyczą może przekazać jednostce organizacyjnej Uniwersytetu Warszawskiego, w następujący sposób:
- podpisanie i złożenie zgody osobiście w jednostce organizacyjnej Uniwersytetu Warszawskiego. Pracownik UW ma obowiązek zweryfikować tożsamość osoby składającej zgodę przez wgląd (bez kserowania dokumentu) do dokumentu potwierdzającego tożsamość (dowód osobisty, paszport, legitymacja studencka);
- przesłanie mailem zgody opatrzonej kwalifikowanym podpisem elektronicznym;
- przesłanie zgody przez ePUAP podpisanej profilem zaufanym;
- przesłanie mailem skanu zgody z podpisem (należy zweryfikować czy adres mailowy, z którego otrzymaliśmy zgodę znajduje się w bazie jednostki organizacyjnej lub zażądać przekazania dodatkowych informacji weryfikacyjnych np. data urodzenia, nr PESEL, nr telefonu).
Należy również pamiętać, że Uniwersytet Warszawski nie jest uprawniony do udostępniania danych osobowych osobom trzecim na podstawie skanu zgody przesłanej przez osobę trzecią.
Czy dopuszczalne jest publikowanie nr PESEL w uchwałach o nadanie stopnia naukowego?
Uchwała jest decyzją administracyjną. Stąd musi spełniać standardy właściwe dla tej formy prawnej. Stosownie do art. 107 par. 1 pkt 3 Kodeksu postępowania administracyjnego, decyzja zawiera oznaczenie strony – w tym przypadku osoby, której stopień jest nadawany. Z uwagi na to, że może być wiele osób o tym samym imieniu i nazwisku, celem rozwiania wątpliwości, wskazane jest podanie numeru PESEL. Nie narusza to przepisów RODO z uwagi na art. 2a par 1 i 2 Kodeksu postępowania administracyjnego w związku z par. 6 ust. 1 lit. c i e RODO.
Nie ma zaś uzasadnienia do publikowania numeru PESEL (nr dowodu osobistego, nr paszportu) w Dzienniku UW, stąd publikując w nim uchwałę numer PESEL należy zaczernić (zanonimizować).
Czy do prowadzenia korespondencji mailowej ze studentami w celach związanych z organizacją zajęć mogę posługiwać się prywatnym adresem mailowym?
Nie, zgodnie z § 1 zarządzenia nr 16 Rektora UW z dnia 18 kwietnia 2007 r. w sprawie korzystania z poczty elektronicznej przez pracowników i studentów Uniwersytetu Warszawskiego istnieje obowiązek posiadania i użytkowania przez każdego pracownika konta poczty elektronicznej w domenie Uniwersytetu Warszawskiego. Natomiast § 3 tego zarządzenia wskazuje, że pracownicy są zobowiązani do korzystania z poczty służbowej w sprawach związanych z działalnością uczelni w tym do komunikacji i obiegu dokumentów. Ponadto należy zauważyć, że co do zasady e-maile kierowane do studentów wysyłane są w imieniu uczelni i stanowią oficjalną korespondencję związaną z działalnością jednostki organizacyjnej. Korzystanie z prywatnego maila do korespondencji służbowej stanowi naruszenie zasady obowiązku korzystania z poczty służbowej określonej w zarządzeniu.
Co stanowi podstawę przetwarzania danych osobowych w ramach prowadzenia zajęć zdalnych?
Przetwarzanie danych osobowych studentów/doktorantów w związku z realizacją toku studiów odbywa się na podstawie przepisów ustawy Prawo o szkolnictwie wyższym i nauce (PSWiN). Ponadto ustawa z dnia 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2 zmienia między innymi ww. ustawę PSWiN dodając art. 76a, który daje uczelni uprawnienie mówiące, że “uczelnia może zorganizować weryfikację osiągniętych efektów uczenia się określonych w programie studiów, w szczególności przeprowadzać zaliczenia i egzaminy kończące określone zajęcia oraz egzaminy dyplomowe, poza siedzibą uczelni lub poza jej filią z wykorzystaniem technologii informatycznych zapewniających kontrolę ich przebiegu i rejestrację”.
Powyższe oznacza, że podstawę prawną uprawniającą do przetwarzania danych osobowych w związku z realizacją toku studiów stanowi art. 6 ust. 1 lit. c RODO (przetwarzanie danych osobowych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze) w związku z art. 6 ust. 1 lit. e RODO (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym).
Z jakiego oprogramowania korzystać do prowadzenia zajęć zdalnych?
Art. 24 RODO wskazuje, że do obowiązków administratora należy wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z przepisami regulującymi ochronę danych osobowych. Ponadto przetwarzanie danych powinno odbywać się z uwzględnieniem zasad przetwarzania danych osobowych określonych w art. 5 RODO.
Ww. przepisy jasno wskazują, że procesy przetwarzania danych osobowych powinny odbywać się pod nadzorem administratora, oznacza to, że administrator musi mieć realną kontrolę nad przetwarzaniem danych osobowych, wiedzieć jaki zakres danych osobowych jest zbierany, w jaki sposób i w jakim celu jest wykorzystywany oraz z wykorzystaniem jakich narzędzi się to odbywa. Oznacza to, że korzystać można wyłącznie z oprogramowania, które dostarcza administrator, a więc istnieje realna kontrola nad przepływem danych (w tym danych osobowych). W związku z tym z punktu widzenia przepisów regulujących ochronę danych osobowych dopuszczalne jest korzystanie wyłącznie z narzędzi, gdzie między deweloperem (dostawcą oprogramowania) a uczelnią została zawarta umowa, która uwzględnia zasady przetwarzania danych osobowych w tym powierzenie przetwarzania danych osobowych określone w art. 28 RODO. Zapewnienie powierzenia przetwarzania danych osobowych jest warunkiem obligatoryjnym. Powierzenie przetwarzania danych osobowych (w skrócie) oznacza przekazanie podmiotowi zewnętrznemu przetwarzanie danych w imieniu administratora jeżeli samodzielnie (administrator) nie jest w stanie osiągnąć zamierzonego celu. Korzystanie z dowolnego oprogramowania sprawia, że uczelnia traci kontrolę nad administrowanymi danymi osobowymi, a ryzyko naruszenia praw osób, których dane dotyczą wzrasta. Korzystanie z usług innych producentów, gdzie UW nie ma np. podpisanej umowy może skutkować naruszeniem przepisów regulujących ochronę danych osobowych – z uwagi np. na brak weryfikacji dot. zabezpieczeń danych osobowych czy też miejsc przechowywania danych.
W ocenie Inspektora Ochrony Danych uwzględniając przepisy regulujące ochronę danych osobowych narzędziami, które można wykorzystywać przy prowadzeniu zajęć zdalnych są:
- platforma Kampus i Big Blue Button dostarczane przez Centrum Kompetencji Cyfrowych UW (przetwarzanie danych odbywa się na serwerach UW. Do tej platformy dostęp posiadają wszyscy studenci i pracownicy UW) – w celu korzystania z ww. platform należy kontaktować się z Centrum Kompetencji Cyfrowych: pomoc-ckc@uw.edu.pl;
- G-suit dla Szkół i Uczelni (kwestie przetwarzania danych osobowych uregulowane są w umowie między UW i Google) – wsparcia dot. korzystania z oprogramowania G-suit może udzielić Pion IT UW.